sábado, 19 de outubro de 2019
Início / Artigos / Na Caçada: Apresentando o programa de recompensas de bugs da Riot
SemLag

Na Caçada: Apresentando o programa de recompensas de bugs da Riot

A Riot quer pagar pelos bugs, vulnerabilidades e exploits que você encontrar em League. Saiba como:

Lá estava uma vulnerabilidade que um Rioter deixou passar, um ponto fraco obscuro no website do League of Legends. Com astúcia o bastante, um hacker malicioso poderia roubar a identidade de outro jogador e fazer postagens para se passar por ele. Não estamos falando de um escândalo de roubo de identidade ou contas, mas uma vulnerabilidade um tanto séria, mesmo assim. E definitivamente algo que deveríamos consertar o quanto antes possível.

Era 2 da tarde em Sydney, Austrália e o pesquisador de segurança de 24 anos Jamieson O’Reilly tropeçou nessa descoberta. Essa vulnerabilidade poderia ter levado a vários golpes de phishing e a uma experiência terrível, no geral. Como um jogador de LoL e pesquisador, a curiosidade e o desafio o inspiraram a testar seus conhecimentos contra a rede e os sites da Riot.

“Honestamente, o que me levou a testar a Riot foi o fato de que eu procurei em todo lugar por vulnerabilidades da Riot e, já que não havia nenhuma, era mais um desafio para mim, como pesquisador de segurança, ser um dos primeiros a encontrar algo”, disse O’Reilly.

Sem ter para onde ir, ele enviou suas descobertas através do único canal disponível a ele: a inbox da [email protected] da Riot, um email feito para atender questionamentos genéricos sobre a Riot e assuntos afins. Uma semana depois… Finalmente sua mensagem alcançou uma pessoa da equipe de segurança da Riot que poderia lidar com o problema. Ele sabia que isso precisava melhorar.

O primeiro passo foi admitir que tínhamos um problema

Nenhum software conectado à internet pode ser considerado 100% seguro. Sabemos que malandros ao redor do mundo fuçam em nossos softwares, websites e infraestrutura procurando por fraquezas. Alguns conseguirão encontrar vulnerabilidades na segurança. Quando isso acontecer, é prioritário que descubramos a vulnerabilidade bem rápido e consertemos antes que hajam grandes abusos.

As pessoas que buscam essas falhas compõem uma comunidade diversificada, cujas motivações variam entre curiosidade a intenções maliciosas, com tudo que há entre ambos. Infelizmente, não há maneira eficiente dos mocinhos reportarem falhas de segurança. Nem um incentivo claro para o fazerem.

Se não estamos ouvindo, podemos frustrar pesquisadores bem intencionados e fazê-los postarem suas descobertas online para chamar nossa atenção. Isso não é legal para o pesquisador e pode causar confusão e dores de cabeça para os jogadores.

Para resolver isso, durante o ano passado testamos um programa de recompensas publicamente acessível que fornece um canal oficial para relatar falhas de segurança, e um mecanismo para recompensar pesquisadores que compartilham questões de segurança importantes que não pudemos identificar.

Atualmente no beta fechado, o Programa de Recompensas de Bugs da Riot só está disponível para alguns poucos profissionais de segurança que já identificamos. Esses profissionais nos ajudaram a resolver mais de 75 bugs, vulnerabilidades e exploits, incluindo exploits de quedas de cliente, exploits relacionados à visão do mapa e vulnerablidades que poderiam potencialmente levar a jogadores se passando por outros em fóruns.

“Outras empresas apenas ficarão com as descobertas e o resto já era. A Riot faz uma abordagem única para manter diálogo diretamente comigo”, disse O’Reilly. “Isso era uma oportunidade preciosa para mim, como um pesquisador de segurança e que vale mais do que qualquer valor de recompensa.”

Enquanto colaboração e divulgação são motivações para alguns, grana pura e simples ainda é uma bela recompensa. Desde o lançamento do programa no beta em Abril de 2013, mais de $100.000 foi pago a essa pequena sociedade de participantes convidados.

Não estamos prontos para abrir o programa a todos pesquisadores e entusiastas da segurança, mas esperamos compartilhar mais detalhes em breve.

Como funcionará

Quando pesquisadores esbarrarem em um novo e grave problema de segurança, eles podem visitar nossa página no HackerOne para enviar suas descobertas, potencialmente em troca de dinheiro e credibilidade. Nós ditamos as regras do programa (por exemplo, não testar exploits em outros jogadores e suas contas) e diretrizes sobre que tipos de problemas se qualificam para uma recompensa. Desenvolver seus próprios exploits para reportá-los é válido, desde que jogadores não sofram e que sua revelação seja coordenada conosco. Qualquer coisa que você fizer que te faça ser banido do jogo ou seja crime na vida real é assunto sério e provavelmente afetará nossa habilidade para trabalhar com você.

HackerOne

Nós sabíamos que conduzir um programa assim seria complexo e que comunicação falha e pagamentos demorados podem acabar com a confiança, o que eventualmente acabaria com um programa de recompensas, então trabalhar com um parceiro experiente como o HackerOne para coordenar a comunicação e pagamentos faz muito sentido.

Os bugs que já eliminamos juntos

Desde o começo do programa, validamos uma variedade de envios muito sérios que tinham o potencial para causar muitos danos a jogadores e ao nosso serviço.

Um pesquisador encontrou um meio de abusar do antigo sistema de convite para chat para derrubar o cliente de jogo de qualquer recipiente. Isso poderia coibir streamers que jogam LoL ou impedir que jogadores escolhessem seus campeões durante a Seleção de Campeões. Isso também forçaria a penalidades por sair da partida e perda de Pontos de Liga em partidas ranqueadas de seu alvo. Bem malvado.

A Riot conseguiu entregar o pagamento da recompensa dentro das 24 horas seguntes à validação do conserto desse bug.

Antes que possamos expandir o programa, precisamos nos alinhar com um fluxo de trabalho fundacional que permita a nossa equipe de segurança lidar eficientemente com cada relato fornecido e transformá-los em bugs a serem tratados por nossa equipe de desenvolvimento. A medida real da efetividade do nosso programa de recompensa é se a Riot consegue ganhar a confiança da comunidade de pesquisadores de segurança e se os jogadores sentem que a Riot fala sério sobre melhorias de segurança. Graças a profissionais de segurança entusiasmados como Jamieson O’Reilly e outros, estamos encontrando e consertando pontos fracos em nosso Nexus. Torcemos pelo dia em que a comunidade inteira junte-se à caçada. A propósito, se você está ciente de algum problema grave de segurança que deveríamos conhecer, entre em contato com nossa equipe de segurança no [email protected]

Continue ligado no RiotGames.com para mais informações sobre o Programa de Recompensas de Bugs e sinta-se à vontade para conferir nossas vagas se você quer lutar o bom combate conosco em tempo integral.

ps: obrigado pela arte incrível, RogueHawk

via Riot Games

Sobre Max Pita

Jogador de LoL de level Diamante Canal de LoL: http://youtube.com/legendsbrcom Canal de Jogos: http://youtube.com/maxpita Twitter: https://twitter.com/max_pita Facebook: https://www.facebook.com/mitopita/

Veja Também

Caso Zoe: Azir 2.0?

Parece que a criança hiperativa vai ficar de castigo por um bom tempo...